DDoS攻擊可以使企業(yè)完全宕機數(shù)小時以上，而宕機的后果可能很嚴重，各種規(guī)模的企業(yè)和政府都可能受到影響。2021年，由于系統(tǒng)中斷一小時導(dǎo)致銷售額大幅下降，亞馬遜為此遭受了約3400萬美元的直接財務(wù)損失。而隨后由于Fakebook的服務(wù)中斷，影響到了Meta的直接收入達到了近1億美元。

因此幾乎每個有在線業(yè)務(wù)的企業(yè)都需要衡量其在網(wǎng)站防護上面所需要的花費及其投資回報率，怎樣用最合理的成本來進行最大化的攻擊防護是每個企業(yè)需要考慮的很重要的問題。

火傘云為大家分享阻止DDoS攻擊的15個獨家技巧，希望可以幫助大家更有效的阻止DDoS攻擊：

1.建立多層DDoS防護體系

當(dāng)前的DDoS攻擊模式已經(jīng)與5-10年前有很大的不同。早期的DDoS攻擊主要集中在第3層或第4層（協(xié)議和傳輸層）的容量攻擊。如今DDoS攻擊有許多不同的類型，每種類型都針對不同的層（網(wǎng)絡(luò)層、傳輸層、會話層、應(yīng)用層）或多層攻擊組合。

此外，攻擊者正在尋找使網(wǎng)站無法訪問合法流量的新方法和利用漏洞的致命方法，從而策劃高度復(fù)雜的攻擊。在這種情況下，無法通過簡單地增加網(wǎng)絡(luò)帶寬或使用傳統(tǒng)防火墻來阻止DDoS攻擊。您需要一個全面的、多模塊的、多層次的DDoS防護方案來規(guī)避各種攻擊，包括應(yīng)用層DDoS攻擊。

因此您的解決方案必須具有可擴展性，并具有內(nèi)置冗余、流量監(jiān)控功能、業(yè)務(wù)邏輯缺陷檢測和漏洞管理功能。

2.避免成為肉雞

攻擊者使用的一種常見策略是DDoS僵尸網(wǎng)絡(luò)，這是一個由遠程控制的受感染設(shè)備組成的網(wǎng)絡(luò)，可向目標(biāo)發(fā)送大量流量。假設(shè)您的機器因DDoS攻擊而關(guān)閉，可能系統(tǒng)會遭到破壞并被用作肉雞。

為了避免成為肉雞，必須做好對應(yīng)的防范：

讓您的設(shè)備和軟件保持最新

使用強而獨特的密碼

小心可疑的電子郵件和附件

使用信譽良好的反惡意軟件解決方案

使用信譽良好的VPN

3.識別攻擊類型

通過了解每種攻擊類型的特征并快速識別它們，DDoS 保護程序可以實時響應(yīng)，在攻擊造成重大損害之前有效地緩解攻擊。識別攻擊類型允許更有針對性和有效的防御機制，例如過濾特定流量或阻止惡意 IP 地址。此外及早識別攻擊類型有助于預(yù)測和預(yù)防未來的攻擊并改善整體安全態(tài)勢，因此在攻擊者發(fā)動攻擊之前就識別攻擊類型的能力是DDoS保護程序不可或缺的一部分。

一般來說企業(yè)可能會遇到三種常見的DDoS攻擊類型：

a.應(yīng)用層（L7）攻擊或HTTP泛洪攻擊

這種應(yīng)用層攻擊針對具有來自多個來源的請求的應(yīng)用程序。此類攻擊會生成大量POST、GET或HTTP請求，導(dǎo)致服務(wù)停機數(shù)小時至數(shù)周不等。由于成本低且易于操作，應(yīng)用層攻擊被廣泛用于電子商務(wù)、銀行和創(chuàng)業(yè)網(wǎng)站等。

b.UDP放大攻擊

攻擊者使用開放的NTP請求流量以阻塞目標(biāo)服務(wù)器或網(wǎng)絡(luò)。L3/L4（網(wǎng)絡(luò)或傳輸）上的這種流量隨著有效負載流量而增強，并且與請求大小相比是巨大的，因此會使服務(wù)不堪重負而宕機。

c.DNS泛洪攻擊

DNS泛洪是針對將域名轉(zhuǎn)換為IP地址的DNS（域名系統(tǒng)）服務(wù)器的DDoS攻擊。這種攻擊旨在通過大流量淹沒DNS服務(wù)器，使合法用戶無法訪問目標(biāo)網(wǎng)站或在線服務(wù)。

4.創(chuàng)建DDoS攻擊威脅模型

DDoS攻擊威脅模型是一種結(jié)構(gòu)化方法，用于識別和分析DDoS攻擊給您的在線服務(wù)或網(wǎng)站帶來的潛在風(fēng)險。

大多數(shù)互聯(lián)網(wǎng)企業(yè)都在努力處理網(wǎng)絡(luò)資源庫存，以跟上不斷增長的增長和客戶需求。新的門戶網(wǎng)站、支付網(wǎng)關(guān)、應(yīng)用系統(tǒng)、營銷領(lǐng)域和其他資源經(jīng)常被不斷創(chuàng)建和淘汰。

而您的網(wǎng)絡(luò)資源是否管理有序井井有條？火傘云有以下建議：

確定您想要保護的資產(chǎn)——創(chuàng)建一個數(shù)據(jù)庫，其中包含您想要防止DDoS攻擊的所有Web資產(chǎn)，作為清單。它應(yīng)該包含網(wǎng)絡(luò)詳細信息、正在使用的協(xié)議、域、應(yīng)用程序的數(shù)量、它們的使用、最后更新的版本等。

定義潛在的攻擊者——定義可能以您的資產(chǎn)為目標(biāo)的潛在攻擊者，例如網(wǎng)絡(luò)黑客、競爭對手或民族國家行為者。

確定攻擊向量——確定攻擊者可以用來發(fā)起DDoS攻擊的各種攻擊向量，如UDP泛洪、SYN泛洪或HTTP 泛洪。

確定攻擊面——確定資產(chǎn)的攻擊面，包括網(wǎng)絡(luò)拓撲、硬件基礎(chǔ)設(shè)施和軟件堆棧。

評估風(fēng)險級別——通過評估攻擊發(fā)生的概率、攻擊的潛在影響以及檢測和緩解攻擊的可能性來評估每個攻擊向量的風(fēng)險級別。

5.設(shè)置網(wǎng)絡(luò)資源優(yōu)先級

所有的網(wǎng)絡(luò)資源都是平等的還是您希望首先保護哪些資源？

從指定Web資源的優(yōu)先級和重要性開始。例如以業(yè)務(wù)和數(shù)據(jù)為中心的Web資產(chǎn)應(yīng)置于具有24h*7dd DDoS關(guān)鍵保護之下。

比如火傘云通常設(shè)置三個等級的網(wǎng)絡(luò)資源：

關(guān)鍵：放置所有可能危及商業(yè)交易或您的聲譽的資產(chǎn)，黑客通常有更高的動機首先針對這些資源。

高：此等級應(yīng)包括可能妨礙日常業(yè)務(wù)運營的Web資產(chǎn)。

正常：此處包含其他所有內(nèi)容。

廢置：可以為不再使用的域、網(wǎng)絡(luò)、應(yīng)用程序和其他服務(wù)創(chuàng)建新的分類并盡快將其移出業(yè)務(wù)運營網(wǎng)絡(luò)。

6.減少攻擊面暴露

通過減少暴露給攻擊者的面，可以最大限度地減少他們編排DDoS攻擊的范圍/選項。

因此，請保護您的關(guān)鍵資產(chǎn)、應(yīng)用程序和其他資源、端口、協(xié)議、服務(wù)器和其他入口點，以免直接暴露給攻擊者。

有許多策略可用于最小化攻擊面暴露：

a.您可以在網(wǎng)絡(luò)中分離和分配資產(chǎn)，使其更難成為目標(biāo)。例如，您可以將Web服務(wù)器放在公共子網(wǎng)中，但底層數(shù)據(jù)庫服務(wù)器應(yīng)位于私有子網(wǎng)中。此外您可以限制從您的Web服務(wù)器訪問數(shù)據(jù)庫服務(wù)器，而不是其他主機。

b.對于可通過Internet訪問的站點，您也可以通過限制訪問用戶所在國家/地區(qū)的流量來減少表面積。

c.利用負載均衡器保護Web服務(wù)器和計算資源免受暴露，方法是將它們置于其后。

d.通過刪除任何不相關(guān)/不相關(guān)的服務(wù)、不必要的功能、遺留系統(tǒng)/流程等，保持應(yīng)用程序/網(wǎng)站清潔，攻擊者經(jīng)常利用這些作為切入點。

7.強化網(wǎng)絡(luò)架構(gòu)

關(guān)鍵的DDoS保護最佳實踐之一是使基礎(chǔ)設(shè)施和網(wǎng)絡(luò)能夠處理任何雷鳴般的浪涌或流量突然激增。通常建議購買更多帶寬作為一種選擇。然而，因為巨大的成本導(dǎo)致這不是一個實用的解決方案。火傘云建議大家可以加入彈性的CDN服務(wù)來幫助您利用全球分散的網(wǎng)絡(luò)并構(gòu)建能夠處理突發(fā)流量高峰的冗余資源。

8.了解警告標(biāo)志

DDoS攻擊包括一些很明顯的網(wǎng)絡(luò)癥狀。比如一些常見的DDoS攻擊癥狀是Internet上的連接不穩(wěn)定、網(wǎng)站間歇性關(guān)閉和Internet斷開連接。如果這些問題比較嚴重和持續(xù)時間較長，則您的網(wǎng)絡(luò)很可能受到DDoS攻擊，您必須采取適當(dāng)?shù)腄DoS攻擊防范措施。

以下是您可能受到分布式拒絕服務(wù) (DDoS) 攻擊的一些警告信號：

異常高的流量

緩慢或無響應(yīng)的網(wǎng)站

網(wǎng)絡(luò)連接問題

不尋常的交通模式

意外的服務(wù)器錯誤

資源使用異常激增

9.黑洞路由

黑洞路由是一種用于通過在惡意流量到達目標(biāo)網(wǎng)絡(luò)或服務(wù)器之前丟棄惡意流量來防止分布式拒絕服務(wù)（DDoS）攻擊的技術(shù)。這涉及到將路由器或交換機配置為將流量發(fā)送到一個空接口，即“黑洞”，從而有效地減少流量。黑洞路由通常用于阻止來自被識別為攻擊源的特定IP地址或子網(wǎng)的流量。

雖然黑洞路由是一種被動措施，但它可以有效地減輕DDoS攻擊的影響。但需要注意的是，黑洞路由應(yīng)與其他主動步驟一起使用，以防止DDoS攻擊。

10.速率限制

速率限制是一種用于通過限制發(fā)送到網(wǎng)絡(luò)或服務(wù)器的流量來防止分布式拒絕服務(wù)（DDoS）攻擊的技術(shù)。這涉及到限制在指定的時間范圍內(nèi)可以進行的請求或連接的數(shù)量。

當(dāng)達到限制時，多余的流量會被丟棄或延遲。速率限制可以在各種級別上實現(xiàn)，例如在網(wǎng)絡(luò)、應(yīng)用程序或DNS層上。通過限制可以發(fā)送到網(wǎng)絡(luò)或服務(wù)器的流量，速率限制有助于防止可能導(dǎo)致DDoS攻擊的資源過載。但是謹慎配置速率限制以避免阻塞合法流量是很重要的。

基于地理的訪問限制、基于信譽評分的訪問限制等基于實時見解的措施在預(yù)防DDoS攻擊方面發(fā)揮了很大作用。

11.日志監(jiān)測與分析

您可能想知道如何通過日志監(jiān)控來阻止DDoS攻擊。快速檢測威脅是DDoS保護的最佳做法之一，因為它們提供了有關(guān)您的網(wǎng)絡(luò)流量的數(shù)據(jù)和統(tǒng)計數(shù)據(jù)。日志文件包含具有充足信息的數(shù)據(jù)，可有效地實時檢測威脅。使用日志分析工具檢測DDoS威脅還有其他好處，如使DDoS補救過程快速而簡單。在列出您的網(wǎng)站時，流量統(tǒng)計數(shù)據(jù)會顯示流量激增的日期和時間，以及哪些服務(wù)器受到了攻擊的影響。

日志分析可以通過預(yù)先通知不需要的事件的狀態(tài)來減少故障排除時間，從而為您節(jié)省時間。一些智能日志管理工具還提供了快速補救和減輕成功DDoS攻擊造成的損害所需的信息。

12.制定DDoS抵御計劃

抵御DDoS攻擊并不會限制預(yù)防和緩解，由于DDoS攻擊旨在關(guān)閉您的完整操作，因此大多數(shù)DDoS保護技術(shù)都與打擊攻擊有關(guān)。

將災(zāi)難恢復(fù)規(guī)劃實踐作為定期運營維護的一部分，該計劃應(yīng)側(cè)重于技術(shù)能力和全面的計劃，該計劃概述了如何在成功的DDoS攻擊的壓力下確保業(yè)務(wù)連續(xù)性。災(zāi)難恢復(fù)站點必須是恢復(fù)計劃的一部分。作為臨時站點的DR站點應(yīng)具有您的數(shù)據(jù)的當(dāng)前備份。恢復(fù)計劃還應(yīng)包括關(guān)鍵細節(jié)，如恢復(fù)方法、關(guān)鍵數(shù)據(jù)備份的維護位置以及誰負責(zé)哪些任務(wù)。

13.獲取DDoS防護工具

如今市場上充斥著幫助您檢測和保護關(guān)鍵網(wǎng)絡(luò)資源免受DDoS攻擊的工具。這些工具屬于不同的類別——檢測和緩解。

攻擊檢測

無論攻擊的層次如何，緩解措施都取決于你在虛假流量激增造成嚴重破壞之前檢測到它們的能力。大多數(shù)DDoS保護工具都依賴于簽名和源詳細信息來警告您。它們依賴于達到臨界質(zhì)量的流量，這會影響服務(wù)的可用性。然而，僅檢測是不夠的，需要手動干預(yù)來查看數(shù)據(jù)并應(yīng)用保護規(guī)則。

自動緩解

DDoS保護是否可以自動化？許多防DDoS解決方案基于預(yù)先配置的規(guī)則和策略來引導(dǎo)或阻止虛假流量。

雖然在應(yīng)用程序或網(wǎng)絡(luò)層上自動過濾不良流量是可取的，但攻擊者已經(jīng)找到了擊敗這些策略的新方法，尤其是在應(yīng)用程序?qū)印?/p>

14.降低對傳統(tǒng)防火墻的依賴

盡管傳統(tǒng)防火墻具有內(nèi)置的抗DDoS功能，但它們只有一種DDoS阻止方法——不分青紅皂白的閾值做法，即在達到最大閾值限制時阻止特定端口，所以傳統(tǒng)防火墻在DDoS保護中經(jīng)常失敗。

15.部署Web應(yīng)用程序防火墻

Web應(yīng)用程序防火墻（WAF）是抵御所有DDoS攻擊的絕佳防御措施。它阻止惡意流量試圖阻止應(yīng)用程序中的漏洞。火傘云WAF通過安全專家的全天候監(jiān)控支持DDoS保護解決方案，以識別虛假流量激增并在不影響合法流量的情況下阻止它們。

您可以在互聯(lián)網(wǎng)和原始服務(wù)器之間放置WAF。WAF可以充當(dāng)反向代理，通過讓客戶端在到達服務(wù)器之前通過它們來保護服務(wù)器不被暴露。

審核編輯 黃宇